关于盐最佳实践的 great讨论已有 couple次,似乎压倒性的建议是为每个密码生成不同的盐,并将其与密码一起存储在数据库中. 但是,如果我正确理解盐的目的,那就是减少彩虹表攻击会让你受到损害的可能性.因此,我理解通过将其存储在数据库中,最好为每个用户更改它,但是如果盐不在数据库附近怎么办？如果我在代码中存储单个salt值(在Web服务器上将存储在已编译的dll中),如果攻击者以某种方式获得对数